Des chercheurs parviennent à pirater un véhicule Jeep en prenant son contrôle à distance,
Fiat Chrysler rappelle 1,4 million de véhicules affectés
Le 2015-07-27 17:40:43, par Olivier Famien, Chroniqueur Actualités
Le groupe Fiat Chrysler Automobiles (FCA) vient de rappeler 1,4 million de véhicules dans ses usines conséquemment à un test de piratage réussi sur un véhicule Jeep effectué par deux chercheurs.
Pour parvenir à leurs fins, ces chercheurs au nom de Charlie Miller et Chris Valasek ont longuement étudié le système embarqué dans le véhicule Jeep Cherokee appelé Uconnect et offrant des fonctionnalités telles la navigation interactive, les options multimédias…
Après avoir détecté des failles exploitables à partir de ce système, les deux chercheurs ont effectué une démonstration avec un journaliste du magazine Wired conduisant un véhicule Jeep.
Une fois connectés au système Uconnect du véhicule via internet, les chercheurs sont parvenus par exemple à déclencher le système d’aération du véhicule, à mettre en marche la radio et augmenter le volume, à activer les essuies glace, le tout pendant que le journaliste du Wired Andy Greenberg était au volant du véhicule.
Comme si cela n’était pas suffisant, Miller et Valasek ont poussé leur test à fond en mettant le véhicule à l’arrêt alors que celui-ci était conduit par Andy. Cela semble vraiment effrayant de savoir qu’une telle faille existe et pourrait être exploitée par des hackers à des fins malveillantes.
Aussi, pour parer à toute éventualité, FCA a d’abord sorti un patch le 16 juillet en affirmant qu’étant « semblable à un smartphone ou une tablette, le logiciel du véhicule peut nécessiter des mises à jour pour améliorer la protection de la sécurité pour réduire le risque potentiel de l’accès non autorisé et illégal à des systèmes de véhicules. La mise à jour de logiciels de sécurité d’aujourd’hui, fournie sans coûts supplémentaires aux clients, inclut également des améliorations de Uconnect introduit dans les modèles conçus en 2015 pour améliorer la commodité du client et la jouissance de leur véhicule ».
Cette mise à jour est fournie par FCA sur une clé USB aux propriétaires des véhicules touchés par ce problème. À défaut, les propriétaires peuvent directement télécharger et installer la mise à jour à partir d’internet ou demander l’expertise de leur concessionnaire pour le faire.
En outre, pour s’entourer de toutes les précautions nécessaires et ne pas laisser de place à certaines éventualités non désirées, FCA a lancé vendredi dernier, le rappel de 1,4 million de véhicules de différents modèles affectés par cette faille. Les véhicules concernés par ce rappel sont les suivants :
En marge de ce rappel, FCA a également procédé par mesure de prudence au blocage de l’accès distant pour les systèmes de certains véhicules le 23 juillet 2015.
Enfin, la compagnie souligne qu’elle « n’a pas connaissance de blessures liées à l’exploitation du logiciel, ni connaissance de plaintes connexes, réclamations de garantie ou d’accidents — hormis de la démonstration des médias ».
Malgré les mesures de précautions et le fait qu’aucune personne n’ait été blessée, cette situation vient à nouveau rappeler combien de fois les objets connectés peuvent être vulnérables. Appliquée aux véhicules, cette vulnérabilité prend une autre tournure en touchant à la vie physique des utilisateurs.
Source : Wire, FCA
Et vous ?
Que pensez-vous de ce piratage ?
Va-t-il vous faire prendre du recul vis-à-vis de ce type de véhicules ?
Pour parvenir à leurs fins, ces chercheurs au nom de Charlie Miller et Chris Valasek ont longuement étudié le système embarqué dans le véhicule Jeep Cherokee appelé Uconnect et offrant des fonctionnalités telles la navigation interactive, les options multimédias…
Après avoir détecté des failles exploitables à partir de ce système, les deux chercheurs ont effectué une démonstration avec un journaliste du magazine Wired conduisant un véhicule Jeep.
Une fois connectés au système Uconnect du véhicule via internet, les chercheurs sont parvenus par exemple à déclencher le système d’aération du véhicule, à mettre en marche la radio et augmenter le volume, à activer les essuies glace, le tout pendant que le journaliste du Wired Andy Greenberg était au volant du véhicule.
Comme si cela n’était pas suffisant, Miller et Valasek ont poussé leur test à fond en mettant le véhicule à l’arrêt alors que celui-ci était conduit par Andy. Cela semble vraiment effrayant de savoir qu’une telle faille existe et pourrait être exploitée par des hackers à des fins malveillantes.
Aussi, pour parer à toute éventualité, FCA a d’abord sorti un patch le 16 juillet en affirmant qu’étant « semblable à un smartphone ou une tablette, le logiciel du véhicule peut nécessiter des mises à jour pour améliorer la protection de la sécurité pour réduire le risque potentiel de l’accès non autorisé et illégal à des systèmes de véhicules. La mise à jour de logiciels de sécurité d’aujourd’hui, fournie sans coûts supplémentaires aux clients, inclut également des améliorations de Uconnect introduit dans les modèles conçus en 2015 pour améliorer la commodité du client et la jouissance de leur véhicule ».
Cette mise à jour est fournie par FCA sur une clé USB aux propriétaires des véhicules touchés par ce problème. À défaut, les propriétaires peuvent directement télécharger et installer la mise à jour à partir d’internet ou demander l’expertise de leur concessionnaire pour le faire.
En outre, pour s’entourer de toutes les précautions nécessaires et ne pas laisser de place à certaines éventualités non désirées, FCA a lancé vendredi dernier, le rappel de 1,4 million de véhicules de différents modèles affectés par cette faille. Les véhicules concernés par ce rappel sont les suivants :
- Les véhicules Dodge Viper 2013-2015
- Les pickups 2013-2015 Ram 1500, 2500 et 3500
- 2013-2015 Ram 3500, 4500, 5500 Chassis Cabs
- Les SUV Cherokee et Jeep Grand Cherokee 2014-2015
- Les SUV Dodge Durango 2014-2015
- Les véhicules Chrysler 200, Chrysler 300 et Dodge Charger Sedan 2015
- Les véhicules Dodge Challenger sports coupes 2015
En marge de ce rappel, FCA a également procédé par mesure de prudence au blocage de l’accès distant pour les systèmes de certains véhicules le 23 juillet 2015.
Enfin, la compagnie souligne qu’elle « n’a pas connaissance de blessures liées à l’exploitation du logiciel, ni connaissance de plaintes connexes, réclamations de garantie ou d’accidents — hormis de la démonstration des médias ».
Malgré les mesures de précautions et le fait qu’aucune personne n’ait été blessée, cette situation vient à nouveau rappeler combien de fois les objets connectés peuvent être vulnérables. Appliquée aux véhicules, cette vulnérabilité prend une autre tournure en touchant à la vie physique des utilisateurs.
Source : Wire, FCA
Et vous ?
-
SodiumMembre extrêmement actifLes objets connectés sont le futur problème majeur de notre société.
Je vote pour commencer immédiatement la construction d'un immense doigt d'honneur avec gravé à ses pieds un monumental "I told you so" pour la prochaine génération.le 28/07/2015 à 9:10 -
DevTroglodyteMembre extrêmement actifActuellement les freins aussi peuvent être pilotés par l'ordinateur de bord (cf les "freins a main électriques automatiques" qui s'activent quand le véhicule est à l'arrêt). Ça ne concerne pas toutes les gammes mais ça commence à se répandre. Et visiblement, dans le cas présenté, les instructions montant depuis le bluetooth / la radio ne sont pas bloquées, et ça donne accès à toute la voiture. Même les freins.Je croyais que les systèmes embarqués étaient sous Linux, et que Linux n'avait pas de failles, pas de virus...le 28/07/2015 à 9:21
-
ZirakInactifDe ce que j'en lis là, la faille était plutôt dans leur système Uconnect que dans Linux mais bon, c'est comme dire que si il y a une faille dans Photoshop, c'est la faute de Microsoft...
Enfin quand on a envie de troller...le 28/07/2015 à 9:25 -
raphcharMembre éclairéQuel intérêt d'installer de tels systèmes dans les voitures ? Pourquoi ne pas cloisonner les parties vitales de la voiture (comme les freins), de la partie qui peut communiquer à distance (radio, gps) ?
Parce que ça coûte trop cher ? Ça aurait au moins le mérite d'être sûr. Mais dans ce monde, la sécurité est un peu délaissée vis à vis du profit (ou plutôt, on s'occupe de la sécurité quand le mal est fait).le 28/07/2015 à 8:48 -
Des failles dans le code binaire? Pourtant sa fonction a "base de goto".le 27/07/2015 à 18:41
-
AlvatenMembre éprouvéQue pensez-vous de ce piratage ?Va-t-il vous faire prendre du recul vis-à-vis de ce type de véhicules ?
A l’arrêt c'est pas dangereux mais gênant, j'ai pas trop envie que ça m'arrive à 120 sur l'autoroute ou dans une épingle de montagne.le 28/07/2015 à 8:23 -
JipétéExpert éminent séniorEn français, stp. Au choix :
- En outre, pour s’entourer de
- En outre, afin de s’entourer de
Liens moisis (en fait, pas de liens du tout...) le 28/07/2015 à 9:16 -
hotcryxMembre extrêmement actifL'année passée, lors de la mort de Paul Walker (l'acteur de Fast and Furious), un journaliste parlait déjà de piratage de voiture à distance, dans le magazine Forbes il me semble.
Pourquoi en parle t'on ouvertement seulement maintenant?!le 28/07/2015 à 13:22 -
Je viens de remarquer qu'une fois corrigé même les C.O.P. ne pourront l'exploiter
La fin des courses poursuites?le 02/08/2015 à 10:47 -
Jon ShannowMembre extrêmement actifJe croyais que les systèmes embarqués étaient sous Linux, et que Linux n'avait pas de failles, pas de virus... Nous aurait-on menti ?le 28/07/2015 à 9:03